Кибербезопасность в Web3: Защитите себя (и свой Ape JPEG)

Даже если Web3 евангелисты уже давно рекламируют собственные функции безопасности блокчейна, поток денег, вливающийся в отрасль, делает ее заманчивой перспективой для хакеров, мошенники и воры.

Когда злоумышленникам удается нарушить кибербезопасность Web3, это часто происходит из-за того, что пользователи не замечают наиболее распространенные угрозы человеческой жадности, FOMO и невежества, а не из-за недостатков технологии.

Многие мошенники обещают большие выплаты, инвестиции или эксклюзивные льготы; FTC называет эти возможности для зарабатывания денег и инвестиций мошенничество.

Большие деньги в мошенничестве

Согласно 2022 июня отчету По данным Федеральной торговой комиссии, с 1 года было украдено криптовалют на сумму более 2021 миллиарда долларов. А охотничьи угодья хакеров — это места, где люди собираются в Интернете.

«Почти половина людей, которые сообщили о потере криптовалюты в результате мошенничества с 2021 года, сказали, что это началось с рекламы, публикации или сообщения в социальной сети», — говорится в сообщении FTC.

Хотя мошеннические действия звучат слишком хорошо, чтобы быть правдой, потенциальные жертвы могут приостановить недоверие, учитывая высокую волатильность рынка криптовалют; люди не хотят пропустить следующее большое событие.

Злоумышленники, нацеленные на NFT

Наряду с криптовалютами, NFTs, или невзаимозаменяемые токены, стали все более популярны цель для мошенников; по данным фирмы по кибербезопасности Web3 Лаборатории ТРМ, за два месяца после мая 2022 года сообщество NFT потеряло около 22 миллионов долларов из-за мошенничества и фишинговых атак.

Коллекции «голубых фишек», такие как Яхт-клуб Bored Ape (BAYC) являются особенно ценной целью. В апреле 2022 года аккаунт BAYC в Instagram был взломанa мошенниками, которые перенаправляли жертв на сайт, который истощал их кошельки Ethereum из криптовалюты и NFT. Было украдено около 91 NFT общей стоимостью более 2.8 миллиона долларов. Месяцы спустя а Эксплойт раздора видел, как у пользователей украли NFT на сумму 200 ETH.

Известные держатели BAYC также стали жертвами мошенничества. 17 мая актер и продюсер Сет Грин написал в Твиттере, что стал жертвой фишинговой аферы, в результате которой были украдены четыре NFT, в том числе Bored Ape #8398. Помимо подчеркивания угрозы, исходящей от фишинговых атак, это могло сорвать запланированное Грином телевизионное / потоковое шоу на тему NFT «Таверна Белой Лошади». NFT BAYC включают лицензионные права на использование NFT в коммерческих целях, как в случае с Скучно и голодно Ресторан быстрого питания в Лонг-Бич, Калифорния.

Во время сеанса Twitter Spaces 9 июня Зелёная сказал, что вернул украденный JPEG, заплатив 165 ETH (более 295,000 XNUMX долларов на тот момент) человеку, купившему NFT после того, как он был украден.

«Фишинг по-прежнему остается первым вектором атаки, — говорит Луис Любек, инженер по безопасности компании Web3, специализирующейся на кибербезопасности. Халборн, Сказал Decrypt.

Любек говорит, что пользователи должны знать о поддельных веб-сайтах, которые запрашивают учетные данные кошелька, клонированных ссылках и поддельных проектах.

По словам Любека, фишинговая афера может начинаться с социальной инженерии, сообщая пользователю о раннем запуске токена или о том, что он в 100 раз увеличит свои деньги, о низком уровне API или о том, что его учетная запись была взломана и требует смены пароля. Эти сообщения обычно приходят с ограниченным временем действия, что еще больше усиливает страх пользователя упустить возможность, также известную как FOMO.

В случае Грина фишинговая атака была осуществлена ​​через клонированную ссылку.

Клон-фишинг — это атака, при которой мошенник берет веб-сайт, электронную почту или даже простую ссылку и создает почти идеальную копию, которая выглядит законной. Грин думал, что чеканил клоны GutterCat, используя то, что оказалось фишинговым сайтом.

Когда Грин подключил свой кошелек к фишинговому веб-сайту и подписал транзакцию для создания NFT, он предоставил хакерам доступ к своим закрытым ключам и, в свою очередь, к своим Bored Apes.

Типы кибератак

Нарушения безопасности могут затронуть как компании, так и отдельных лиц. Хотя это и не полный список, кибератаки, нацеленные на Web3, обычно делятся на следующие категории:

• ? Фишинг: Одна из старейших, но наиболее распространенных форм кибератак, фишинговые атаки, обычно осуществляются в виде электронной почты и включают отправку мошеннических сообщений, таких как тексты и сообщения в социальных сетях, которые, как представляется, исходят из авторитетного источника. Этот киберпреступности также может принимать форму скомпрометированного или злонамеренно закодированного веб-сайта, который может слить криптовалюту или NFT из подключенного кошелька на основе браузера после подключения криптокошелька.
• ?‍☠️ Malware: Сокращенный от вредоносного программного обеспечения, этот обобщающий термин охватывает любую программу или код, наносящий вред системе. Вредоносное ПО может проникнуть в систему через фишинговые электронные письма, текстовые сообщения и сообщения.
• ? Скомпрометированные веб-сайты: Эти законные веб-сайты захватываются преступниками и используются для хранения вредоносных программ, которые ничего не подозревающие пользователи загружают, когда они нажимают на ссылку, изображение или файл.
• ? URL Spoofing: Отключить скомпрометированные веб-сайты; поддельные веб-сайты — это вредоносные веб-сайты, являющиеся клонами легитимных веб-сайтов. Эти сайты, также известные как URL-фишинг, могут собирать имена пользователей, пароли, кредитные карты, криптовалюту и другую личную информацию.
• ? Поддельные расширения для браузера: Как следует из названия, эти эксплойты используют поддельные расширения браузера, чтобы обмануть крипто-пользователей, заставив их ввести свои учетные данные или ключи в расширение, которое дает киберпреступнику доступ к данным.

Эти атаки обычно направлены на доступ, кражу и уничтожение конфиденциальной информации или, в случае Грина, NFT Bored Ape.

Что вы можете сделать, чтобы защитить себя?

Любек говорит, что лучший способ защитить себя от фишинга — никогда не отвечать на электронные письма, текстовые SMS, сообщения Telegram, Discord или WhatsApp от неизвестного человека, компании или учетной записи. «Я пойду дальше этого», — добавил Любек. «Никогда не вводите учетные данные или личную информацию, если пользователь не начал общение».

Любек рекомендует не вводить свои учетные данные или личную информацию при использовании общедоступного или общего Wi-Fi или сетей. Кроме того, Любек рассказывает Decrypt что у людей не должно быть ложного чувства безопасности, потому что они используют определенную операционную систему или тип телефона.

«Когда мы говорим о таких видах мошенничества, как фишинг, выдача себя за веб-страницу, не имеет значения, используете ли вы iPhone, Linux, Mac, iOS, Windows или Chromebook», — говорит он. «Назовите устройство; проблема в сайте, а не в вашем устройстве».

Держите свою криптовалюту и NFT в безопасности

Давайте посмотрим на более «Web3» план действий.

По возможности используйте аппаратные или воздушные зазоры. Кошельки для хранения цифровых активов. Эти устройства, которые иногда называют «холодным хранилищем», удаляют вашу криптовалюту из Интернета до тех пор, пока вы не будете готовы ее использовать. Хотя обычно и удобно использовать кошельки на основе браузера, такие как MetaMask, помните, что все, что связано с Интернетом, может быть взломано.

Если вы используете мобильный, браузерный или настольный кошелек, также известный как горячий кошелек, загрузите их с официальных платформ, таких как Google Play Store, Apple App Store или с проверенных веб-сайтов. Никогда не скачивайте по ссылкам, отправленным в текстовом сообщении или по электронной почте. Несмотря на то, что вредоносные приложения могут попасть в официальные магазины, это более безопасно, чем использование ссылок.

После завершения транзакции отключите кошелек от веб-сайта.

Убедитесь, что ваши личные ключи, исходные фразы и пароли не разглашаются. Если вас попросят поделиться этой информацией для участия в инвестициях или майнинге, это мошенничество.

Инвестируйте только в проекты, которые вы понимаете. Если неясно, как работает схема, остановитесь и проведите дополнительные исследования.

Игнорируйте тактику высокого давления и сжатые сроки. Часто мошенники используют это, чтобы попытаться вызвать FOMO и заставить потенциальных жертв не думать и не исследовать то, что им говорят.

И последнее, но не менее важное: если это звучит слишком хорошо, чтобы быть правдой, возможно, это мошенничество.